分析和 A/B 測試 Cookie — 只有在歐洲獲得同意後？

2020 年 2 月 19 日更新：CNIL 的一項新更新表明 A/B 測試和受眾測量現在免於同意。

您可能會認為 GDPR 僅在 2018 年 5 月生效時才造成了破壞。

事實上，整個 2019 年歐洲一直處於動蕩之中，這不是好消息。

法國和英國數據保護機構（CNIL 和 ICO）更新了 2019 年 7 月發布的指導說明，強調分析 cookie（包括 A/B 測試和個性化）需要明確同意才能放置在訪問者的設備上。 他們在提及同意（如選擇加入）時特別提到了 GDPR。 它必須基於活動的用戶操作，而不是默認設置。

2020 年 2 月，CNIL 改變了對此事的立場（感謝 Paul Schmitt 向我指出這一點）。 儘管 ICO 和 CNIL 之前聲明用於 A/B 測試和分析的 cookie 需要徵得同意，但最新的指南（法語）另有說明：

“受益於免於同意，在一定數量的條件下，用於受眾測量的 cookie 可以免於同意。 這些條件，如 cookie 和其他跟踪器指南中​​所述，是 (1) 告知用戶其使用情況； (2) 賦予他們反對的權力； (3) 將系統限制為僅用於以下目的：受眾測量和 A/B 測試。”

這意味著可以在未經同意的情況下安裝僅為組織收集數據而設置的分析工具（不以任何方式與第三方共享）。 對於 Google Analytics（分析）來說，這一變化可能是一項艱鉅的任務。 Mozilla 的這項特別協議促使 Google Analytics 不與其他服務共享其數據。 目前，不確定此設置是否適用於所有用戶。 儘管如此，如果歐洲在未經同意的情況下打開分析的大門，我認為谷歌將不得不遵循路線並向其歐洲客戶群提供此功能。

儘管沒有其他歐洲國家隱私當局對 ePrivacy 指令法律（在 GDPR 之前實施）進行此類補充，但這可能會在 2020 年 7 月和新的 ePrivacy 法規將取代當前指令之間造成法律真空。

發生了什麼？ 發生了什麼變化？

有關歐洲隱私法主要變化的摘要，請觀看下面的視頻（免責聲明：在視頻中我錯誤地提到了這些變化是在 2018 年實施的，而實際上它們是在 2019 年實施的）。

ICO 最近重新解釋了 2011 年的歐洲電子隱私指令“cookie 法”和英國版本的 2003 年隱私和電子通信（EC 指令）條例（“PECR”）。 此更改意味著要求“同意”刪除任何“非必要”cookie，無論是否收集個人數據。

2012 年，ICO 表示允許默示同意（即選擇退出而不是選擇加入）：

在數據保護法和隱私法規的背景下，默示同意一直是一個合理的主張，並且在使用 cookie 和類似設備存儲信息或訪問信息的背景下仍然如此。

2019 年 7 月 18 日，法國隱私權管理局 (CNIL) 發布了關於使用 cookie 的新指南。 適用於 HTTP cookie 的規則也適用於許多其他跟踪技術（“跟踪器”），包括本地共享對象、終端設備指紋、硬件標識符和操作系統生成的標識符。 就像 ICO 和 GDPR 指南一樣，這裡也沒有關於使用 cookie 的單獨決定，但指紋識別現在屬於同意範圍。

但隨後 CNIL 通過更新他們的 Github 頁面讓這一切變得有點混亂。 CNIL 的最新指南規定，受眾測量和 A/B 測試無需同意，可以立即進行（選擇退出）。

歐洲數據保護委員會 (EDPB) 於 2019 年 3 月就 ePrivacy 指令和 GDPR 之間的相互作用發表了書面意見，因為 GDPR 沒有提及 cookie，而且這兩項法律之間存在差距。

一些人將 EDPB 的意見解釋為，ePrivacy 指令中所有提及的“同意”均指 GDPR 定義的同意。 對於 cookie，這意味著您不能在沒有人主動選擇加入的情況下放置 cookie。

那麼，為什麼 ICO 和 CNIL 在 GDPR 生效一年後改變了他們的指導方針？ 為什麼在 13 個月後，關於“選擇退出”cookie 的信息變為同意選擇加入？

我們要感謝 Planet49。

2017 年 11 月 30 日，德國網站和公司 Planet49 因多項考慮到 GDPR 和電子隱私指令的可疑做法而被告上法庭。

儘管我們不得不等待結果（全文附在文章底部），但該裁決確定了每個國家都需要更明確的指導方針。

由於這項裁決，CNIL 和 ICO 開始更新他們的指導方針，以反映當前隱私法如何涵蓋同意、信息共享和（分析和跟踪）cookie。 我們將不得不等待，看看 CNIL 是否會影響其他歐洲國家以允許受眾測量和 A/B 測試 cookie。

“絕對必要”的餅乾豁免之戰

當我們的 A/B 測試公司適應 GDPR 實踐時，分析和 A/B 測試 cookie 可以作為企業必不可少的內容呈現給客戶。 相反，重點更多地放在廣告跟踪器上。

如今，人們可能會躲在嚴格必要的“cookie 豁免”後面。 我什至聽到有人說“但我們的法律團隊說我們可以在未經同意的情況下放置 Google Analytics cookie”。 在我閱讀 ICO 的新指南之前，我也在那個陣營中。 他們的網站提供了一些很好的例子，說明哪些 cookie 對網站運行和正確的用戶交互至關重要。 隨著新的指導方針不斷出現，嚴格遵守一方或另一方可能會令人困惑。 一些公司現在正在遵循 CNIL 的最新建議。

在下面的示例中，cookie 是向用戶提供服務“絕對必要的”。 在每種情況下，都適用豁免且無需同意：

• 用於記住用戶在結賬或將商品添加到購物籃時希望購買的產品的cookie，
• 對於用戶請求的活動（例如，與在線銀行服務相關），遵守 GDPR 安全原則所必需的 Cookie，
• 通過將工作負載分佈在多台計算機上（這通常稱為“負載平衡”或“反向代理”）來幫助確保快速有效地加載頁面內容的Cookie。

重要的是要記住，應該從用戶或訂閱者的角度來評估“絕對必要”的內容，而不是您自己的角度。 因此，例如，雖然您可能將廣告 cookie 視為“絕對必要”，因為它們帶來了為您的服務提供資金的收入，但從用戶的角度來看，它們並非“絕對必要”。

ICO 聲明需要用戶同意的 Cookie（通過用戶操作主動選擇加入）例如：

• 用於分析的 Cookie，例如計算對網站的唯一訪問次數（包括個性化和 A/B 測試），
• 第一方和第三方廣告 cookie （包括那些用於與第三方廣告相關的運營目的，例如點擊欺詐檢測、研究、產品改進等），
• 用於在用戶返回網站時識別用戶的Cookie，以便可以定制他們收到的問候語（ICO 特別提到了個性化）。

歐洲法院 2019 年 10 月 1 日的“Planet49”判決

2019 年 10 月，歐盟法院（“CJEU”）在其“Planet49”判決中裁定，根據CNIL 和ICO 自 2019 年 7 月起實施。

因此，放置 cookie 和分析技術（如指紋）需要主動和知情同意，包括廣告 cookie（但不是絕對必要的 cookie）。

預先勾選的框，例如 Planet49 試圖逃避的框，不是獲得同意的有效手段。

作為一家公司，我們重建了整個基礎設施，以確保我們遵守 GDPR 並且在 cookie 中不存儲任何個人數據。

CJEU 的裁決指出，個人數據是否通過 cookie 收集並不重要。 即使放置 cookie 不涉及處理個人數據，也必須徵得同意。 在徵得用戶同意之前，控制者應告知用戶每個 cookie 的生命週期以及任何第三方訪問通過此類 cookie 收集的信息的情況。

對分析和 A/B 測試 Cookie 有任何未經同意的希望嗎？

ICO 不區分用於分析的 cookie 和用於其他目的的 cookie，但 CNIL 可以。

分析 cookie 不屬於 ICO 的“絕對必要”豁免範圍。 這意味著企業需要告知用戶有關分析 cookie 的信息並獲得他們在英國使用的同意，而在法國，CNIL 允許在未經同意的情況下進行分析（有限制）和 A/B 測試。

ICO（英國）將用於在線廣告或網絡分析的 cookie 描述為非必要的，因此需要事先徵得同意。 這包括由第三方提供商設置的第一方 cookie 和第一方 cookie（閱讀 Convert 或 Google Analytics）。 Convert 也符合 CNIL 的規定，並且不會在客戶之間共享數據集，並且僅針對每個客戶進行安裝，因此允許 A/B 測試和帶有測試延遲的個性化。

ICO 指南明確指出：

第一方分析 cookie 需要徵得同意，即使它們可能不像其他可能跨多個站點或設備跟踪用戶的其他 cookie 那樣具有侵入性。

第一方分析 cookie 需要徵得同意，即使它們可能不像其他可能跨多個站點或設備跟踪用戶的其他 cookie 那樣具有侵入性。

儘管 ICO 不能排除在任何領域採取正式行動的可能性，但在設置第一方分析 cookie 會導致低程度的侵入性和對個人造成傷害的低風險的情況下，情況並非總是如此。 但是，您還應注意，在您使用第三方提供的第一方分析 cookie 的情況下，情況不一定如此。

您應該知道在 2020 年 7 月之前遵循 ICO 的 PECR 指南有一個寬限期。

如果收集的有關網站使用的信息被傳遞給第三方，則應向用戶說明這一點。 還應該清楚該第三方如何處理這些信息。

根據您的服務，您還可以為用戶提供更改帳戶設置以限制與第三方（包括分析提供商）共享信息的能力。 （分析服務也可能提供此功能，請考慮在適當的情況下啟用它。）提供給用戶的控件應突出顯示而不是隱藏起來。

最後，向用戶提供有關分析 cookie 的明確信息並徵求他們的同意或共享信息（舊 cookie 橫幅）。 這可能涉及向用戶展示為什麼這些 cookie 對他們有用——但您必須確保您不會強迫用戶選擇一個選項而不是另一個選項。

在某些方面，此類指導文件比當前的新電子隱私條例草案（2019 年 10 月 4 日）更進一步，它將取代現有的電子隱私指令（以及現行的 PECR 和法國法律）。 在當前的草案中，它允許運營商在未經同意的情況下在用戶的設備上放置第一方或第三方cookies，用於“受眾測量”（即分析通過其網站的流量以優化服務）。

如果仍有疑問，這裡有一張來自 ICO 的圖表，它很好地解釋了 cookie 的使用。

直接給我

這裡可能出現的一個問題是，放置 cookie 的公司會嘗試以自己的方式解釋法律。 但即使我們製作分析、A/B 測試和個性化軟件，我們也會直接提供給您。

1. 英國 (ICO) 和法國 (CNIL) 隱私當局在 2019 年 7 月更改了他們的指導方針，指出分析、A/B 測試和個性化軟件，如 Convert Experiences、Optimizely、AB Tasty、VWO、Adobe Target、PageSense、OmniConvert、Google Optimize其餘的都需要在同意的情況下選擇加入，才能為其公民放置第一方和第三方 cookie。
2. 法國 (CNIL) 更改了他們的 Github 頁面，將 A/B 測試和基本分析排除在 cookie 同意之外。
3. 德國和西班牙正在關注英國 (ICO) 或法國 (CNIL)，您可以期待他們的指導方針的更新。
4. 歐盟法院（“CJEU”）在 2019 年 10 月的“Planet49”判決中裁定，GDPR 標準同意也適用於根據電子隱私指令設置 cookie。 該裁決重申，所有國家隱私當局都需要採用英國和法國的指導方針。
5. 草案中的新法律稱為 ePrivacy 法規，它將取代 ePrivacy 指令，在 A/B 測試、個性化和分析方面有一個 cookie 例外。
6. ICO 或 CNIL 目前不太可能積極追查使用第一方分析、A/B 測試和個性化的公司。 電子隱私條例可能會在 2021 年（年中）生效，寬限期到 2020 年 7 月。這些組織的工作範圍非常廣泛。
7. 根據我們認為自 2019 年 7 月以來在歐洲發生的事情的公平代表性得出您自己的結論。 與您的法律顧問交談。 不要將您的建議基於銷售同意管理平台的工具（他們希望獲得所有同意），但也不是來自分析、A/B 測試和個性化工具的提供商……我們和他們。

我希望這篇文章有助於闡明歐洲目前正在發生的變化。

儘管它傷害了我們的商業模式，但我們始終努力分享真相。

我們希望我們的優化工具能夠用於提供最佳的用戶體驗，以便用戶獲得最好的產品頁面、最少混淆的菜單以及可以節省他們完成時間的表單。

我們將網站優化視為一種崇高的技藝，符合網站訪問者和所有者（我們的付費客戶）的最大利益。 我們希望我們的客戶認真對待隱私，並在我們工具的每一層中建立警告和隱私權。 為了合規和隱私，我們只將匯總數據（而不是個人數據）存儲到我們的工具中。

我們其實很在意。 儘管由於當前的 ICO 以及不斷變化的 CNIL 指南和 ePrivacy 法規，我們可能處於困境，但我們知道，在完全透明的情況下，我們將成為關心隱私和消費者可以信任的品牌的首選公司.

為此，我們推出了一個小型彈出窗口，向網站訪問者展示他們所參與的個性化和 A/B 測試。

這是一個可選代碼，客戶可以在 Convert Experiences A/B 測試和個性化工具中添加到他們的全局 Javascript（請參閱下圖了解其工作原理）。

如果您想討論隱私、我們正在開發的 CNAME 解決方案或新的法律發展，請通過 LinkedIn 與我聯繫。